Snuffelen in persoonsgegevens, of pesten van christenen? Het voorstel van D’66 om te gaan verbieden dat kerken automatisch te horen krijgen dat een ingeschrevene is verhuisd, maakte nogal wat stof los. En bij mij de juridische vraag, eh, wacht even, hoe kan het dat dit al zo is, want de Wbp is toch opt-in?
De Stichting Interkerkelijke Ledenadministratie oftewel SILA blijkt al jaren van gemeentes mutaties te ontvangen uit de GBA (verhuizingen, overlijden, naamswijzigingen en wijziging burgerlijke staat). De SILA laat kerken deze mutaties dan met “maximale privacybescherming” verwerken in hun eigen bestanden. Het idee hierachter is dat zo de gemeente niet hoeft bij te houden wie bij welke kerk zit (wat op gespannen voet staat met de Wbp) en dat een kerk toch al weet wie jij bent en waar je woont (je bent immers lid) en dus zo alleen bij gegevens komt van hun leden. De vlag bij de gemeente hiervoor heet de SILA stip (geruststellend staat er dan bij: “Het is niet letterlijk een stip, maar een digitaal kenmerk.”).
De Wet bescherming persoonsgegevens verbiedt het verwerken van bijzondere persoonsgegevens zoals geloof zonder toestemming, maar er is een uitzondering voor de ledenadministratie van kerkgenootschappen, op zich wel logisch. Minder logisch vond ik hoe de Wbp de GBA toestaat dit te doen, want de GBA is geen kerk.
Maar de Wbp géldt niet voor verwerkingen die onder de Wet GBA vallen. In plaats daarvan regelt de Wet GBA in artikel 99 dat het GBA op grond van een speciale regeling systematisch persoonsgegevens mag delen met onder meer “één samenwerkingsverband van kerkgenootschappen of andere genootschappen op geestelijke grondslag”, die stichting dus zo bepaalt artikel 68c van die regeling.
Wel moet de Wbp zo veel mogelijk worden nageleefd staat hier, en vandaar dat de SILA die constructie met haar figuurlijke stip heeft opgetuigd en diverse maatregelen voor de privacy heeft genomen. Een “schoolvoorbeeld voor de privacybescherming”, zo citeert men met instemming privacyhoogleraar Franken, toch bepaald niet de minste. En inderdaad, alle veiligheidsmaatregelen zijn genomen en dat ziet er goed uit. Maar daar gáát het niet om; de discussie is waarom deze gegevensverstrekking überhaupt plaats moet vinden. En gezien de kop boven deze blog is mijn insteek wel duidelijk. Wat vinden jullie?
Arnoud